Co grozi za niezgłoszenie incydentu NIS2?

Maksymalnie 10 mln EUR lub 2% rocznego obrotu globalnego — wyższa z tych dwóch wartości — dla Podmiotu Kluczowego; do 7 mln EUR lub 1,4% obrotu globalnego dla Podmiotu Ważnego. Kary za naruszenie obowiązków raportowania należą do najszybciej i najczęściej nakładanych w europejskiej praktyce. Niezależnie od kary administracyjnej, członek zarządu odpowiedzialny za zaniechanie może być pozwany przez podmiot regresowo do 600% miesięcznego wynagrodzenia (projektowany Art. 12a polskiej ustawy o KSC).

Jakie są terminy zgłoszenia incydentu istotnego do CSIRT?

Trzy terminy łącznie. (1) Wczesne ostrzeżenie — do 24 godzin od stwierdzenia istotnego incydentu. (2) Raport incydentu — w ciągu 72 godzin. (3) Raport końcowy — w ciągu 1 miesiąca. Możliwy jest dodatkowy raport pośredni na żądanie CSIRT. Wszystkie terminy biegną od momentu, w którym podmiot dowiedział się o incydencie — nie od momentu, w którym ustalił jego skalę.

Czy „przeoczenie” jest okolicznością łagodzącą?

Nie. Art. 23 NIS2 nakłada obowiązek dochowania należytej staranności w wykrywaniu incydentów — brak wykrycia z powodu nieodpowiednich procesów monitoringu sam w sobie jest naruszeniem. Pierwsze kary nałożone w UE (Niemcy 2024, Włochy 2025) były właśnie za sytuacje typu „incydent wykryto po fakcie, gdy klient poinformował zewnętrznie”. Sąd administracyjny nie uznaje argumentu, że podmiot nie wiedział, bo nie miał SOC.

Czy raport końcowy może być korektą raportu w 72 godzinach?

Tak, dokładnie taki jest jego cel. Raport w 72 godzinach jest stanem wiedzy „na żywo” — może być niekompletny, oparty na hipotezach, mylny w detalach. Raport końcowy w 1 miesiąc weryfikuje, koryguje i uzupełnia. Sankcje nakłada się za brak zgłoszenia, nie za błędy faktyczne — pod warunkiem że zgłoszenie w 24h i 72h zostało wykonane w dobrej wierze.

Kary za niezgłoszenie incydentu NIS2

Trzy poziomy sankcji — administracyjna, regres, reputacyjna

Niezgłoszenie istotnego incydentu w trybie Art. 23 NIS2 uruchamia trzy odrębne reżimy odpowiedzialności:

1. Kara administracyjna nakładana przez organ właściwy

Górne progi unijne — wyższa z dwóch wartości:

Podmiot Kluczowy — do 10 mln EUR lub 2% rocznego obrotu globalnego.
Podmiot Ważny — do 7 mln EUR lub 1,4% rocznego obrotu globalnego.

W praktyce dla polskiej grupy z 800 mln zł rocznego przychodu 2% to około 16 mln zł — wielokrotność ceny SOC i procedury obsługi incydentów. Polskie organy nadzoru korzystają z metodyki uwzględniającej skalę, recydywę i postawę po incydencie; szczegóły — pillar Art. 12a KSC i kary za NIS2.

2. Regres osobisty — Art. 12a polskiej ustawy o KSC

Projektowany Art. 12a polskiej nowelizacji wprowadza możliwość regresu od członka zarządu odpowiedzialnego za zaniechanie — do 600% miesięcznego wynagrodzenia tej osoby. Sankcja jest osobista, niezależna od kary administracyjnej nakładanej na podmiot. Ubezpieczenia D&O w Polsce — według aktualnych warunków — najczęściej wyłączają tę kategorię szkody (regres za rażące zaniedbanie obowiązków regulacyjnych).

3. Sankcja reputacyjna i obowiązek publikacji

NIS2 dopuszcza możliwość publikacji informacji o naruszeniu — na żądanie organu właściwego — jako element kary. W praktyce europejskiej (Niemcy, Włochy 2024–2025) wszystkie nałożone do tej pory kary były publikowane na stronach BSI i AgID. Polska praktyka prawdopodobnie pójdzie tym tropem po wejściu w życie nowelizacji KSC.

Kaskada raportowania — 24h / 72h / 1 miesiąc

Art. 23 NIS2 wprowadza trzyfazowy obowiązek raportowania istotnych incydentów:

Wczesne ostrzeżenie — do 24 godzin od stwierdzenia incydentu. Treść minimalna: wstępne podejrzenie, czy incydent ma podłoże złośliwe (cyberatak) i czy może mieć skutek transgraniczny.
Raport incydentu — w ciągu 72 godzin od stwierdzenia. Treść: pierwsza ocena, w tym jakie usługi zostały dotknięte, jaka jest skala wpływu, jakie wskaźniki kompromitacji (IoC) zostały zidentyfikowane.
Raport końcowy — w ciągu 1 miesiąca od stwierdzenia. Treść: pełna analiza przyczyn (root cause), podjęte środki łagodzące, plan zapobiegania nawrotom.

Możliwy jest dodatkowy raport pośredni — na żądanie CSIRT — typowo dla incydentów o szczególnie dużej skali. Pełna analiza w pillarze Raportowanie incydentów do CSIRT.

Kto zgłasza do którego CSIRT

W polskiej strukturze NIS2 trzy CSIRT-y krajowe rozdzielają właściwość:

CSIRT NASK — większość podmiotów cywilnych (energetyka, transport, woda, zdrowie, produkcja, FMCG, odpady, usługi cyfrowe).
CSIRT GOV — administracja publiczna i podmioty wykonujące zadania publiczne.
CSIRT MON — podmioty resortu obrony narodowej i właściwości CSIRT MON.

Zgłoszenia odbywają się przez system S46 prowadzony przez NASK-PIB. Dodatkowo — dla niektórych sektorów — równolegle obowiązują inne reżimy zgłoszeniowe: RODO (PUODO) dla naruszeń danych osobowych, NFZ dla incydentów wpływających na ciągłość świadczeń zdrowotnych, KNF dla podmiotów finansowych pod DORA.

Pierwsze kary NIS2 w UE — czego można się nauczyć

Państwa członkowskie, które wdrożyły NIS2 w terminie (Chorwacja, Włochy, Belgia) lub krótko po nim (Niemcy, Holandia), nałożyły już pierwsze sankcje. Wzorzec jest powtarzalny:

Najczęstsza przyczyna kary: incydent wykryty ex post — przez stronę trzecią (klient, media, badacz bezpieczeństwa) — nie przez wewnętrzny monitoring podmiotu. Organ nadzoru kwestionuje brak skutecznych mechanizmów wykrywania.
Druga najczęstsza: przekroczenie terminu 72h przez podmiot, który incydent wykrył, ale „chciał najpierw ustalić skalę". Organy nie akceptują tej logiki — raport w 72h ma być stanem wiedzy „na żywo”, nie pełną analizą.
Łagodzące: demonstrowalna kultura cyber w zarządzie (regularne szkolenia, udokumentowane decyzje inwestycyjne), pierwszorazowe naruszenie, współpraca z organem po stwierdzeniu uchybienia.

Najczęstszy błąd operacyjny. Zarząd dowiaduje się o incydencie w piątek wieczorem. Decyzja: „zaczekamy do poniedziałku, bo nie mamy pewności, czy to naprawdę istotne". W poniedziałek minęły 64 godziny z 72. Powstaje panika, raport jest niekompletny, ekspozycja na karę maksymalna. Procedura obsługi incydentów powinna jednoznacznie określać: kto ma uprawnienie do uruchomienia kaskady raportowania bez konsultacji z zarządem, w jakich godzinach (24/7), i co konkretnie obejmuje raport 24-godzinny (minimum treści, nie pełna analiza).

Krótko

Maksymalna kara administracyjna: 10 mln EUR / 2% obrotu (Kluczowy), 7 mln EUR / 1,4% (Ważny).
Regres osobisty do 600% wynagrodzenia członka zarządu (projektowany Art. 12a KSC).
Trzy terminy: 24h wczesne ostrzeżenie, 72h raport, 1 miesiąc raport końcowy.
Raport w 72h ma być stanem wiedzy „na żywo”, nie pełną analizą. Sankcja za brak zgłoszenia, nie za błędy faktyczne.
Najczęstsza przyczyna pierwszych kar w UE: incydent wykryto ex post, nie przez wewnętrzny monitoring.

Marka Cyber Alterity prowadzi bezpłatną 20-minutową konsultację gotowości do raportowania — szybką weryfikację, czy procedura obsługi incydentów w Państwa firmie pozwoli dotrzymać kaskady 24h / 72h.